Con Active Directory desplegado en nuestra entorno deberíamos ser capaces de controlar la seguridad, administración y el acceso a los recursos desde una ubicación centralizada. Y además administrar y controlar los escritorios!
Cómo hemos ido viendo en multitud de ocasiones, AD tiene una herramienta… Group Policy (Directiva de grupo), para centralizar los escritorios. Con ella podemos administrar virtualmente todo en los sistemas de nuestro entorno, desde el fondo del escritorio hasta qué aplicaciones pueden ejecutarse. Incluyendo no sólo los escritorios cliente sino también los servidores.
Directiva de grupo nos permite obligar el cumplimiento de nuestras políticas, implementar cualquier configuración de seguridad que queramos e, implementar un entorno estándar a través de todo el Directorio Activo.
Con un entorno estándar proporcionamos una base consistente y además aligerar las llamadas de soporte al departamento. Antes de ver como podemos trabajar con Poweshell y GP, repasemos algunas cuestiones básicas:
Conocer sobre: |
DESCRIPCIÓN |
GPMC Consola administración Directivas |
Interfaz principal, aquí creamos los GPOs. Definimos a qué se aplicarán los enlaces creados. Disponemos de tres ámbitos o alcances: Sites, Dominios y OUs. |
GPO Objeto de Directiva de Grupo |
Objeto que contiene la configuración que queremos aplicar a usuarios y/o equipos. Se enlazan a OUs. |
Enlace de Directiva de Grupo | Enlaza un GPO a la parte del entorno AD al qué queremos que se le aplique. Conocido como ámbito o alcance: Sites, Dominios y OUs. |
Archivo ADMX | Archivo de plantilla administrativa, define la ubicación de la configuración y valores en el sistema local, y crea el interfaz que usamos para modificar dicha configuración/valores desde el Editor de Directivas de grupo, que no es más que un GUI de administración de las mismas. |
Preferencias de Directiva de Grupo | Proporciona alternativas para trabajar con imágenes en toda la organización y así administrar configuraciones que no son fáciles desde la Directiva de Grupo. Esta configuración, inicialmente establecida por el administrador, refleja un estado del sistema predeterminado y que no es obligatorio. |
RSoP | Conjunto de configuraciones de directiva aplicadas después del completo proceso de las mismas. Puede ser una combinación de muchos niveles de Directivas. |
En cuanto a los ámbitos o alcance hemos de tener en cuenta qué:
El ámbito más grande es el SITE y aquí se ven afectados todos los dominios y objetos que contenga.
En el DOMINIO se verán afectados todos los objetos contenidos en él.
En las OU, todos los objetos que contengan, así como los sucesivos anidamientos de OUs y sus objetos.
El uso de unos u otros se determina por las necesidades, si bien hay algunas recomendaciones al efecto:
Configuración de seguridad de red o IPSec, a nivel de SITE.
Contraseñas y resto de valores de seguridad, DOMINIO.
Aplicación de Directivas de Grupo en las OU, es lo que más recomiendan, proporcionan facilidad de administración y localización de nuestras Directivas.
Administrar las Directivas de Grupo
Como otras herramientas, powershell ha dedicado un módulo para almacenar los cmdlets que podemos usar en la administración de Directivas de Grupo. Éste módulo no está disponible en todos los sistemas en los que Powershell está instalado. Sólo se encuentra en DCs, servidores miembros con GPMC instalada o Windows 7 con RSAT instaladas.
Para importar el módulo usamos el comando:
Import-Module grouppolicy
Aunque si lo intentamos en un equipo que no cumpla los requisitos recibiremos un mensajito…
Pero sigamos en uno que sí,
Una vez importado podemos listar los cmdlets disponibles, Get-Command –module grouppolicy
El comando Get-GPO –All nos permite ver las GPO del dominio.
Cmdlet |
Qué hace: |
Get-GPO | Lista las GPO en el Dominio, podemos listar una específicamente o todas. |
New-GPO | Crea una nueva GPO en el dominio. |
New-GPLink | Crea un nuevo vínculo de GPO hacia una GPO existente en el dominio. |
Set-GPRegistryValue | Establece un valor de directiva. Para que este cmdlet sea efectivo en la GPO, hay que conocer la ubicación de la misma en el Registro. |
Set-GPPrefRegistryValue | Establece un valor de Preferencia. Hay que conocer la ubicación en el Registro. |
Ejemplos: Get-GPO –All
Podemos ver la configuración de una en particular, por ejemplo listamos las que hay en SySVol…
Y con su GUID…
Y con su nombre…